none
Как закрыть интернет на сервере windows 2019 standart RRS feed

  • Вопрос

  • День добрый.

    Есть сервер win 2019 standart, он выполняет роль файлового сервера, на него также подключаются пользователи домена под своими учётками и работают с документами, например из дома. Как сделать так чтобы у пользователей интернет не работал? Отключить интернет физически убрав из конфигурации ip шлюза я не могу по причине того что перестанет в таком случае раб удалённый доступ к этому серверу. Удалёнка настроена переадресацией через интернет роутер.

    Отключать у каждого отдельного пользователя тоже не вариант, нужно как то отключить у всех, может чтобы IE и EDGE не запускался чтоли, предложите пжлста свои варианты!

    18 марта 2020 г. 9:52

Ответы

  • то можно настроить  VPN на нём 

    т.е. лицензия стандар позволяет мне к роли файлового сервера добавить ещё роль hyper-v и создать на нём одну виртуалочку с таким же дистрибутивом что и на этом сервере? Ключ лицензии вбивать такой же?

    А не подскажите тогда как настроить vpn на виртуалочке?

    Да, лицензия это позволяет. Но установка Hyper-V на файловый\RDP сервер будет не самым лучшем вариантом, так пользоватли будут иметь доступ к Hyper-V пусть только и на чтение.

    По настройке VPN я уже дал ссылку выше ;) Если будут вопросы по VPN - создайте отдельную тему.

    Идеальным вариантом будет следующий сценарий:

    - создание двух виртуальных машин
    - одна виртуальная машина - RDP доступ VM1
    - вторая виртуальная машина -  VPN + файловый сервер VM2
    - перемещение всех файлов на файловый сервер VM2
    - перемещение всех профилей пользователей на сервере VM1
    - удаление всех ролей  физического сервера кроме: Hyper-V, Windows Backup.

    18 марта 2020 г. 12:37
  • Пользователи из интернета (любые, в том числе армады китайских, индийский или росийских хакеров) могут просканировав онлайн сканерами найти ваши ресурсы проброшенные на роутере и спокойно, при помощи программ перебора ломать доступ к серверу. Обычно на обнаружение сервера посторонними лицами занимает от недели до месяца, а далее начинаются попытки входа.

    чтобы этого не происходило обычно настраивают vpn (оптимально с использованием сертификатов) а уж после подключения по vpn пользюки попадают в корпоративную сетку и из нее идут на свои станции, сервера, принтера и тд.

    как правило tplink'и за 30$ таким функционалом (vpn сервера) не обладают, но например mikrotik'и за 200-300$ или cisco за 1 - 2 к$ вполне это умеют.

    при подключении к vpn вы можете менять таблицы маршрутов клиентов (которые работают из дому) и они при подключении к корпоративным ресурсам могут не иметь доступа в интернет на сыоих домашних пк, пока не отключаться от тунеля.

    для управления же интернетом в офисе (что на пк, так и на сервере) существует стандартная практика использования прокси сервера с набором правил (кому, когда и куда можно ходить)

    так же стандартная практика - не совмещение ролей - если сервер файловый, то пользователи к нему по рдп не ходят и наоборот.


    The opinion expressed by me is not an official position of Microsoft

    18 марта 2020 г. 11:35
    Модератор

  • чтобы этого не происходило обычно настраивают vpn (оптимально с использованием сертификатов) а уж после подключения по vpn пользюки попадают в корпоративную сетку и из нее идут на свои станции, сервера, принтера и тд.

    как правило tplink'и за 30$ таким функционалом (vpn сервера) не обладают, но например mikrotik'и за 200-300$ или cisco за 1 - 2 к$ вполне это умеют.

    Хотелось бы добавить, так у Sibirin уже есть Windows Server 2019, то можно настроить  VPN на нём , а точнее на виртуальной машине на том же железном сервере, так как лицензия Standard это позволяет. В таком случае на роутере нужно лишь пробросить порты для L2TP, IKEv2 или SSTP.
    18 марта 2020 г. 12:20
  • В политиках для RDP (как предполагаю из описания именно так юзеры попадают на этот сервер) можно отключить браузер + включить APP Locker как предложено выше. Если же настроить VPN и требуются только SMB на сервере, то можно попробовать нести GUI на нём.
    18 марта 2020 г. 19:04

  • Давайте поясню: У нас имеется три новых сервера, которые настраивал лично я, 1 это AD, DNS, DHCP Win 2019 Strd, 2 это FS и сервер печати на Win 2019 Strd, 3 это резервный AD, DNS на Win 2016.

    В дальнейшем я планирую сделать прокси сервер и почтовый сервер на linux`е. Но на это уйдёт ещё много времени, поэтому в текущих ситуациях и хотел временно если потребуется решить проблему с удалённым доступом именно таким образом.

    Сервера AD и FS я переустанавливать не буду, они новые, хорошо настроены и работают без ошибок. К ним лишь нужно добавить кибер защиты. Антивирус стоит пока дефолтный, может быть вы предложите какой то антивирус платный или бесплатный который бы справлялся с задачей защиты от вирусов на FS`ке?

    1 о киберзащите речь не идет если сервер подключенный к домену, рдп портом торчит в интернет. Выше я писал почему.

    2 Файловый сервер это не сервер RDS, (а у вас это так)

    3 три железных сервера это 6 вм за теже (не малые) деньги, поэтому думаю директор заплативший деньги за это удовольствие, может с вами поспорить, что все настроено правильно.

    4 не существует идеальных антивирусов, но это не повод их не устанавливать вообще. Если defender установлен и работает - ок, но из моей практики, это не самый удобный в управлении и мониторинге продукт. Название конкретных марок можно считать рекламой, а форум не про то.


    The opinion expressed by me is not an official position of Microsoft

    20 марта 2020 г. 7:47
    Модератор

Все ответы

  • И ещё желательно чтоб при этом могли проходить и скачиваться обновления. 
    18 марта 2020 г. 9:53

  • Отключать у каждого отдельного пользователя тоже не вариант, нужно как то отключить у всех, может чтобы IE и EDGE не запускался чтоли, предложите пжлста свои варианты!

    День добрый!

    Что бы запретить запуск IE и\или EDGE можно воспользоваться AppLocker: https://docs.microsoft.com/ru-ru/windows/security/threat-protection/windows-defender-application-control/applocker/administer-applocker


    Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Предложить как ответ" или "Проголосовать за полезное сообщение"

    18 марта 2020 г. 10:18
  • выставлять сервер в интернет голым интерфейсом это игры с огнем, если вас еще не взломали, это только вопрос времени

    ваша задача не ясна. Как выглядит инфраструктура? какие роли на каких серверах установлены? Почему не используете VPN? WSUS тоже хорошая штука для организаций. У кого вы хотите выключать интернет, у пользюков которые из интернета к вам подключились? На их домашних машинах?


    The opinion expressed by me is not an official position of Microsoft

    18 марта 2020 г. 10:19
    Модератор
  • выставлять сервер в интернет голым интерфейсом это игры с огнем, если вас еще не взломали, это только вопрос времени

    ваша задача не ясна. Как выглядит инфраструктура? какие роли на каких серверах установлены? Почему не используете VPN? WSUS тоже хорошая штука для организаций. У кого вы хотите выключать интернет, у пользюков которые из интернета к вам подключились? На их домашних машинах?


    The opinion expressed by me is not an official position of Microsoft

    Инфраструктура следующая: Имеется роутер TP-link который раздаёт всем интернет от провайдера, воткнут он в общий не управляемый свитч, все кто подключены к этому свитчу имеют доступ в интернет при условии что у них прописан шлюз этого роутера. Файловый сервер будем называть его FS, на нём у меня не прописан был шлюз, подключение удалённое я настраиваю на роутере, там есть параметр переадресации, там прописывается внешний и внутренний порт и внутренний ip адрес, соответственно юзер из дома вбивает наш внешний ip адрес с указанным портом и подключается путём переадресации к внутреннему серверу FS, дальше уже заходит под своей учётной записью, а уже с этого FS может подкл и к своему ПК. Такая ситуация у нас до этого не практиковалась, но сейчас есть необходимость настроить удалённый доступ сотрудникам, и это видится как неплохим вариантом. А интернет я хотел отключить у юзеров которые зайдя под своей доменной учёткой на FS могут с раб стола запустить IE и залезть куда не нужно. Антивируса естесственно на FS нет, только стандартные средства, вся защита включена, обновляется всегда.

    При такой схеме сервер разве выставлен голым интерфейсом?

    Подскажите как сделать правильно, какие решения посоветовали бы вы.

    18 марта 2020 г. 10:40
  • Решение по тому как откл IE я нашел

    dism /online /Disable-Feature /FeatureName:Internet-Explorer-Optional-amd64

    стоит ли действовать таким способом?

    18 марта 2020 г. 10:41

  • Отключать у каждого отдельного пользователя тоже не вариант, нужно как то отключить у всех, может чтобы IE и EDGE не запускался чтоли, предложите пжлста свои варианты!

    День добрый!

    Что бы запретить запуск IE и\или EDGE можно воспользоваться AppLocker: https://docs.microsoft.com/ru-ru/windows/security/threat-protection/windows-defender-application-control/applocker/administer-applocker


    Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Предложить как ответ" или "Проголосовать за полезное сообщение"

    А вот таким способом если откл IE? EDGE на Win Server 2019 не устрановлен.

    dism /online /Disable-Feature /FeatureName:Internet-Explorer-Optional-amd64


    18 марта 2020 г. 10:44
  • Пользователи из интернета (любые, в том числе армады китайских, индийский или росийских хакеров) могут просканировав онлайн сканерами найти ваши ресурсы проброшенные на роутере и спокойно, при помощи программ перебора ломать доступ к серверу. Обычно на обнаружение сервера посторонними лицами занимает от недели до месяца, а далее начинаются попытки входа.

    чтобы этого не происходило обычно настраивают vpn (оптимально с использованием сертификатов) а уж после подключения по vpn пользюки попадают в корпоративную сетку и из нее идут на свои станции, сервера, принтера и тд.

    как правило tplink'и за 30$ таким функционалом (vpn сервера) не обладают, но например mikrotik'и за 200-300$ или cisco за 1 - 2 к$ вполне это умеют.

    при подключении к vpn вы можете менять таблицы маршрутов клиентов (которые работают из дому) и они при подключении к корпоративным ресурсам могут не иметь доступа в интернет на сыоих домашних пк, пока не отключаться от тунеля.

    для управления же интернетом в офисе (что на пк, так и на сервере) существует стандартная практика использования прокси сервера с набором правил (кому, когда и куда можно ходить)

    так же стандартная практика - не совмещение ролей - если сервер файловый, то пользователи к нему по рдп не ходят и наоборот.


    The opinion expressed by me is not an official position of Microsoft

    18 марта 2020 г. 11:35
    Модератор

  • чтобы этого не происходило обычно настраивают vpn (оптимально с использованием сертификатов) а уж после подключения по vpn пользюки попадают в корпоративную сетку и из нее идут на свои станции, сервера, принтера и тд.

    как правило tplink'и за 30$ таким функционалом (vpn сервера) не обладают, но например mikrotik'и за 200-300$ или cisco за 1 - 2 к$ вполне это умеют.

    Хотелось бы добавить, так у Sibirin уже есть Windows Server 2019, то можно настроить  VPN на нём , а точнее на виртуальной машине на том же железном сервере, так как лицензия Standard это позволяет. В таком случае на роутере нужно лишь пробросить порты для L2TP, IKEv2 или SSTP.
    18 марта 2020 г. 12:20

  • Хотелось бы добавить, так у Sibirin уже есть Windows Server 2019, то можно настроить  VPN на нём , а точнее на виртуальной машине на том же железном сервере, так как лицензия Standard это позволяет. В таком случае на роутере нужно лишь пробросить порты для L2TP, IKEv2 или SSTP.
    оно так то да, на железном сервере можно поднять роль hyper-v на нем поднять 2 вм, на одной настроить vpn, а на второй файловый сервер или сервер rds, но это будет требовать мигрировать железный сервер в виртуальную среду

    The opinion expressed by me is not an official position of Microsoft

    18 марта 2020 г. 12:30
    Модератор
  • ну, это выглядит как обычная работа для сисадмина )
    18 марта 2020 г. 12:33

  • чтобы этого не происходило обычно настраивают vpn (оптимально с использованием сертификатов) а уж после подключения по vpn пользюки попадают в корпоративную сетку и из нее идут на свои станции, сервера, принтера и тд.

    как правило tplink'и за 30$ таким функционалом (vpn сервера) не обладают, но например mikrotik'и за 200-300$ или cisco за 1 - 2 к$ вполне это умеют.

    Хотелось бы добавить, так у Sibirin уже есть Windows Server 2019, то можно настроить  VPN на нём (часть со смарт-картой игнорируйте), а точнее на виртуальной машине на том же железном сервере, так как лицензия Standard это позволяет. В таком случае на роутере нужно лишь пробросить SSL порт: 443.

    т.е. лицензия стандар позволяет мне к роли файлового сервера добавить ещё роль hyper-v и создать на нём одну виртуалочку с таким же дистрибутивом что и на этом сервере? Ключ лицензии вбивать такой же?

    А не подскажите тогда как настроить vpn на виртуалочке?

    18 марта 2020 г. 12:34
  • то можно настроить  VPN на нём 

    т.е. лицензия стандар позволяет мне к роли файлового сервера добавить ещё роль hyper-v и создать на нём одну виртуалочку с таким же дистрибутивом что и на этом сервере? Ключ лицензии вбивать такой же?

    А не подскажите тогда как настроить vpn на виртуалочке?

    Да, лицензия это позволяет. Но установка Hyper-V на файловый\RDP сервер будет не самым лучшем вариантом, так пользоватли будут иметь доступ к Hyper-V пусть только и на чтение.

    По настройке VPN я уже дал ссылку выше ;) Если будут вопросы по VPN - создайте отдельную тему.

    Идеальным вариантом будет следующий сценарий:

    - создание двух виртуальных машин
    - одна виртуальная машина - RDP доступ VM1
    - вторая виртуальная машина -  VPN + файловый сервер VM2
    - перемещение всех файлов на файловый сервер VM2
    - перемещение всех профилей пользователей на сервере VM1
    - удаление всех ролей  физического сервера кроме: Hyper-V, Windows Backup.

    18 марта 2020 г. 12:37

  • - удаление всех ролей  физического сервера кроме: Hyper-V, Windows Backup.

    я бы сервер переустановил меньше шансов нарваться на косяки старой настройки и мусор оставшийся после удаления ролей

    The opinion expressed by me is not an official position of Microsoft

    18 марта 2020 г. 12:49
    Модератор

  • - удаление всех ролей  физического сервера кроме: Hyper-V, Windows Backup.

    я бы сервер переустановил меньше шансов нарваться на косяки старой настройки и мусор оставшийся после удаления ролей

    The opinion expressed by me is not an official position of Microsoft

    я бы тоже, но это сложнее, и будет простой + сервер наверное только один. Но я также вижу решение (предварительный бекап обязателен), но гарантию не даю: настроить все VM, переметить образы дисков vhdx на отдельный или внешний диск, и переустановить сервер. Потом в Hyper-V просто импортировать VM, или подключить vhdx к новым VM.

    18 марта 2020 г. 12:55
  • еще где-то должен быть ад, если он так же железный, то можно еще в его сторону смотреть, но мой посыл был про то что "простая" задача ограничения интернета, оборачивается архитектурными проблема, которые то можно решить но это задача долгая и решать ее нужно обдуманно, чтоб не переделывать еще раз месяца через 3.

    к слову жить без антивируса на файловом сервере не лучшая практика, так как любой ваш пользюк может сервер превратить в тыкву, а потом скорее всего даже не узнаете кто это был


    The opinion expressed by me is not an official position of Microsoft

    18 марта 2020 г. 13:21
    Модератор
  • В политиках для RDP (как предполагаю из описания именно так юзеры попадают на этот сервер) можно отключить браузер + включить APP Locker как предложено выше. Если же настроить VPN и требуются только SMB на сервере, то можно попробовать нести GUI на нём.
    18 марта 2020 г. 19:04
  • еще где-то должен быть ад, если он так же железный, то можно еще в его сторону смотреть, но мой посыл был про то что "простая" задача ограничения интернета, оборачивается архитектурными проблема, которые то можно решить но это задача долгая и решать ее нужно обдуманно, чтоб не переделывать еще раз месяца через 3.

    к слову жить без антивируса на файловом сервере не лучшая практика, так как любой ваш пользюк может сервер превратить в тыкву, а потом скорее всего даже не узнаете кто это был


    The opinion expressed by me is not an official position of Microsoft

    Давайте поясню: У нас имеется три новых сервера, которые настраивал лично я, 1 это AD, DNS, DHCP Win 2019 Strd, 2 это FS и сервер печати на Win 2019 Strd, 3 это резервный AD, DNS на Win 2016.

    В дальнейшем я планирую сделать прокси сервер и почтовый сервер на linux`е. Но на это уйдёт ещё много времени, поэтому в текущих ситуациях и хотел временно если потребуется решить проблему с удалённым доступом именно таким образом.

    Сервера AD и FS я переустанавливать не буду, они новые, хорошо настроены и работают без ошибок. К ним лишь нужно добавить кибер защиты. Антивирус стоит пока дефолтный, может быть вы предложите какой то антивирус платный или бесплатный который бы справлялся с задачей защиты от вирусов на FS`ке?

    20 марта 2020 г. 7:32
  • В политиках для RDP (как предполагаю из описания именно так юзеры попадают на этот сервер) можно отключить браузер + включить APP Locker как предложено выше. Если же настроить VPN и требуются только SMB на сервере, то можно попробовать нести GUI на нём.
    А где имеенно в политиках не подскажите?
    20 марта 2020 г. 7:33

  • Давайте поясню: У нас имеется три новых сервера, которые настраивал лично я, 1 это AD, DNS, DHCP Win 2019 Strd, 2 это FS и сервер печати на Win 2019 Strd, 3 это резервный AD, DNS на Win 2016.

    В дальнейшем я планирую сделать прокси сервер и почтовый сервер на linux`е. Но на это уйдёт ещё много времени, поэтому в текущих ситуациях и хотел временно если потребуется решить проблему с удалённым доступом именно таким образом.

    Сервера AD и FS я переустанавливать не буду, они новые, хорошо настроены и работают без ошибок. К ним лишь нужно добавить кибер защиты. Антивирус стоит пока дефолтный, может быть вы предложите какой то антивирус платный или бесплатный который бы справлялся с задачей защиты от вирусов на FS`ке?

    1 о киберзащите речь не идет если сервер подключенный к домену, рдп портом торчит в интернет. Выше я писал почему.

    2 Файловый сервер это не сервер RDS, (а у вас это так)

    3 три железных сервера это 6 вм за теже (не малые) деньги, поэтому думаю директор заплативший деньги за это удовольствие, может с вами поспорить, что все настроено правильно.

    4 не существует идеальных антивирусов, но это не повод их не устанавливать вообще. Если defender установлен и работает - ок, но из моей практики, это не самый удобный в управлении и мониторинге продукт. Название конкретных марок можно считать рекламой, а форум не про то.


    The opinion expressed by me is not an official position of Microsoft

    20 марта 2020 г. 7:47
    Модератор